这是一个创建于 787 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景:公司发的电脑,强制入 AD 域,自带统一管理的企业版迈克菲。之前因为迈克菲自己抽风导致 Anyconnect 无法检测迈克菲运行状态,所以现在不要求迈克菲运行就可以加入公司内网。
需求:运行我自己写的一些有一些“高危”操作(在迈克菲看来,但是实际上只是调用了一些底层 Win32API )的效率工具。我真的是连调试都调试不了我的代码,一生成产物就被光速删除,有时候运气好刚刚启动就被删除。
经过:
我尝试了许多办法,直接改注册表有保护,改启动项也有保护,常规删除更不可能
用 PsExec 的话由于在域里面,完全无法注入 key ,提示网络找不到,也没戏
PE 也进不了,有 UEFI 保护,还有 BitLocker
在走投无路的时候想到了曾经 360 的以毒攻毒方法,就想能不能用另外一个杀毒软件来干掉迈克菲呢
然后我就下了我经常用的火绒,打开火绒剑
最初是尝试结束任务,无果
修改注册表,启动项都有防护,我就一咬牙(大不了就是回公司重装系统),强制删除了迈克菲的几个服务程序
重启
然后迈克菲就跟我说再见了(虽然还是有迈克菲的驱动残留,但是防护功能已经废了)
火绒你好!
需求:运行我自己写的一些有一些“高危”操作(在迈克菲看来,但是实际上只是调用了一些底层 Win32API )的效率工具。我真的是连调试都调试不了我的代码,一生成产物就被光速删除,有时候运气好刚刚启动就被删除。
经过:
我尝试了许多办法,直接改注册表有保护,改启动项也有保护,常规删除更不可能
用 PsExec 的话由于在域里面,完全无法注入 key ,提示网络找不到,也没戏
PE 也进不了,有 UEFI 保护,还有 BitLocker
在走投无路的时候想到了曾经 360 的以毒攻毒方法,就想能不能用另外一个杀毒软件来干掉迈克菲呢
然后我就下了我经常用的火绒,打开火绒剑
最初是尝试结束任务,无果
修改注册表,启动项都有防护,我就一咬牙(大不了就是回公司重装系统),强制删除了迈克菲的几个服务程序
重启
然后迈克菲就跟我说再见了(虽然还是有迈克菲的驱动残留,但是防护功能已经废了)
火绒你好!
 |
1
ysc3839 2022-09-15 04:13:37 +08:00 via Android
有签名就不防吗?也许可以试试 PCHunter ,不过免费版似乎比较久没更新了。
|
 |
2
mxT52CRuqR6o5 2022-09-15 04:26:18 +08:00 via Android
@ysc3839 驱动之间的东西如果互相对抗,很可能把电脑搞崩的
|
 |
3
PMR 2022-09-15 05:35:14 +08:00 via Android
任何进程都能被 kill
Windows 最高权是 driver inject kernel-mode |
 |
4
levelworm 2022-09-15 05:42:28 +08:00 via Android
好奇一把楼主写的什么工具
|
 |
5
PogOnion 2022-09-15 05:46:59 +08:00
不能说楼主闲得无聊,只能说公司卡的太严
|
 |
7
JensenQian 2022-09-15 07:45:48 +08:00 via Android  1
来个大数字,都得被关
|
 |
8
AS4694lAS4808 2022-09-15 07:52:30 +08:00 via Android
可以加排除文件或者文件夹吧?我司也一样,python 写的脚本一运行就被干掉,后来找 it 申请加的签名白名单,就很烦
|
 |
9
linuslv 2022-09-15 08:24:48 +08:00
应该向公司申请不使用 McAfee ,毕竟影响自身工作了。
|
 |
11
melsp 2022-09-15 08:46:56 +08:00 via Android
哇塞,企业版迈克菲😨
|
 |
12
king888 2022-09-15 09:00:32 +08:00
插楼问下,也是火绒,经常莫名其妙毫无提示的直接干掉本地 frpc 进程并删除文件,一脸懵逼,查了 windows 安全中心保护记录记录,火绒隔离区 /安全日志毫无记录
真一脸懵逼... |
 |
13
maskerTUI 2022-09-15 09:06:35 +08:00
迈克菲的防护确实是太多误报了,我是用 pe 进去系统直接删文件的。
|
 |
14
peasant 2022-09-15 09:07:56 +08:00
@king888 frpc 很多杀毒软件都提示有毒吧,就算不装杀毒软件,windows 自带的都会阻止 frpc 运行,只能设置排除才能安稳运行
|
|
16
king888 2022-09-15 09:16:01 +08:00
加白名单也会干掉
|
 |
17
thtznet 2022-09-15 09:17:32 +08:00
加了 AD 还能自己装软件,那么意义何在?
|
 |
19
huangsijun17 2022-09-15 09:36:00 +08:00
备份系统后拿微软的 Autoruns 去删掉各类“启动项”即可。一般你搜索麦咖啡的签名上的公司名,就能列出所有。
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns |
 |
20
virusdefender 2022-09-15 09:47:16 +08:00
驱动层的对抗没啥意义,所以大家都不咋处理
|
 |
21
Deteriorator 2022-09-15 09:57:31 +08:00
迈克菲可以通过专门的软件完整地卸载掉
|
 |
22
janus77 2022-09-15 10:22:41 +08:00
这种事不是找公司 IT 部门解决吗,至于费这么大工夫
|
 |
23
TtTtTtT 2022-09-15 10:23:17 +08:00
所以已经不在本机上开发代码了。
前几天还以为麦咖啡被删了,没想到是换了个 logo 。 |
 |
24
chioplkijhman 2022-09-15 11:33:58 +08:00
公司 IT 遇到自己“解决问题”的人会觉得很。。至少不会夸你。
|
 |
25
qeqv 2022-09-15 11:40:37 +08:00
@chioplkijhman 笑死,我有一次自己重装系统被 IT 喷了
|
 |
26
xingtian 2022-09-15 13:04:16 +08:00
小伙子你该不会是 hisense 公司的吧?@Aloento
|
|
27
PogOnion 2022-09-15 14:13:44 +08:00
#10 应该设计成从电脑导入导出文件需求授权 XD
|
 |
28
lonenol 2022-09-15 14:22:52 +08:00
我们公司也是内置迈克菲。。。。不知道这软件是怎么占领企业的。。
|
 |
29
abolast 2022-09-15 14:51:35 +08:00
删得好,感觉这个迈克菲比 360 毒霸还要恶心
|
 |
31
WOLFRAZOR 2022-09-15 17:49:58 +08:00
內置 Mcafee 。之前試過內置的就有 Symantec ,360 ;還有安天。安天不給卸載,因為會有人來檢查。
Symantec 和 360 都是重裝抹掉,懶得卸載(那時候卸載了也沒問題,不像現在用安天這麼麻煩) |
 |
33
Aloento OP @AS4694lAS4808 没有这个功能,我们的迈克菲连用户界面都调不出来,完全静默,托盘图标都没有
@linuslv @janus77 部门没权限单独关掉某个人的杀毒软件,只能让我们自己想办法解决 @maskerTUI 我们 PE 进不去呀哎 @thtznet 我申请了 local admin 权限,挺麻烦的层层审批,但是申请到了意思就是你随便弄吧 @Deteriorator 细说? @xingtian 不是 @lonenol @abolast 廉价授权,利益交换。美团用的卡巴斯基呢 @HFX3389 本地账户也被域策略组控制,不知道有没有办法破解策略组限制 |
|
34
Deteriorator 2022-09-15 20:54:15 +08:00
@Aloento 网上搜一下就有,我当时是我们公司的 IT 给的专门的软件卸载掉的
|
 |
35
abc8678 2022-09-16 00:16:07 +08:00 via Android
@snw 当年学易语言的时候,一生成就被 360 删。然后在网上找了一个数字签名克隆工具,把国内其他公司的签名套上去就不报毒了。但苹果的签名克不到
|
 |
36
mikywei 2022-09-16 11:38:54 +08:00
然后 Anyconnect 思科 sslvpn 策略改回来,要求是使用迈克菲才能连接公司内网,又得装回来哈哈。
|
 |
37
akakidz 2022-09-16 14:46:48 +08:00
事实证明门锁只能防住好人😂当公司安全性达到标准程度,再加大力度导致的结果就是恶心自己人
|
 |
38
Autonomous 2022-12-10 21:59:55 +08:00
从 Windows PC 上删除迈克菲产品
https://www.mcafee.com/support/?articleId=TS101331&page=shell&shell=article-view |
|
39
Aloento OP |
Select Language